Giriş
AI destekli siber saldırıların yeni bir boyuta ulaştığı görülüyor. Sysdig güvenlik firması, yapay zeka tarafından baştan sona yürütülen ilk fidye yazılımı saldırısını tespit etti.
Saldırı Nasıl Çalışıyor?
Sysdig’in Tehdit Araştırma Ekibi, saldırganı JADEPUFFER olarak adlandırdı ve bir büyük dil modelinin tüm süreci yönettiğini belirtti: sisteme sızmak, kimlik bilgilerini çalmak, ağa daha derinlemesine ilerlemek ve sonunda bir şirketin üretim veritabanını şifreleyerek silmek. CVE-2025-3248 açığı, Langflow isimli açık kaynaklı bir yapay zeka uygulama geliştirme aracında yer alan ve mevcut olan bir yetkisiz erişim hatasıdır. Bu açık, sunucuya erişimi olan herhangi birinin login olmadan Python kodu çalıştırmasına olanak tanıyor.
Langflow sunucuları, sıklıkla internete açık durumda bulunması ve bağlandıkları hizmetlerin API anahtarlarıyla bulut kimlik bilgilerini tutmaları nedeniyle cazip hedeflerdir. Langflow 1.3.0 sürümünde bu hata kapatılmıştır, ancak birçok sunucu hiç güncellenmemiştir.
Etkilenen Sistemler
Saldırgan içeride hızla hareket etti ve ardından şunları yaptı:
- Makineyi haritaladı ve gizli bilgileri araştırdı: AI hizmetleri için API anahtarları (OpenAI, Anthropic, DeepSeek, Gemini), bulut kimlik bilgileri (Alibaba ve Tencent gibi Çinli sağlayıcıların yanı sıra AWS, Google ve Azure) ve veritabanı oturum açma bilgileri.
- MinIO depolama sunucusunu varsayılan giriş kimliğiyle (minioadmin:minioadmin) soydu.
- Bir geri dönüş yolu oluşturdu ve her 30 dakikada bir saldırganın sunucusuna ping atan planlanmış bir görev ekledi.
- Gerçek hedefe doğru ilerleyerek, internete açık bir MySQL veritabanı ve Alibaba’nın mikro hizmetlerde yaygın olarak kullandığı Nacos’u hedef aldı.
fidye Notu ve Anahtar Eksikliği
Saldırgan, tüm 1,342 Nacos ayarını şifreleyerek orijinal tabloları kaldırdı ve Bitcoin talep eden bir fidye notu bıraktı. Şifreleme anahtarını rastgele üretti, ekrana bir kez yazdırdı ve hiçbir yere kaydetmedi ya da göndermedi.
Kurban, ödemeyi yapsa bile verilerine erişemeyecek. AES-256 kullanıldığı iddia edilse de, Sysdig kullanılan aracın varsayılan olarak daha zayıf olan AES-128 ile çalıştığını belirtiyor.
Uzmanlar Zaten Bir AI Kullanıldığını Nasıl Anladı?
Kodun kendisi en belirgin işaretti. Saldırı yükleri, her adımın neden alındığını açıklayan sade İngilizce notlarla doluydu; her insan hackerın yazmayı düşünmeyeceği bu tür açıklamalar bir modelin varsayılan çıktısıdır.
Sysdig, bu işlemler boyunca 600’den fazla ayrı ve hedefli yük saydı.
Daha Büyük Bir Değişimin Parçası
JADEPUFFER, AI destekli saldırılarda hızlı bir gelişimi temsil ediyor. Ağustos 2025’te, ESET, ilk AI destekli fidye yazılımı olarak duyurulan PromptLock’u işaret etti, ancak daha sonra bunun bir lab prototipi olduğu ortaya çıktı.
Ayrıca, Anthropic’in Claude Code aracıyla en az 17 kuruluşa yapılan bir gerçek fidye kampanyası rapor edildi. Bu kampanyada, insan hala kontrol ediyor olsa da, talepler 500,000 doları aşıyordu.
Çözüm ve Korunma
Alınacak önlemler oldukça tanıdık. Langflow’u güncellemeli ve kod çalıştırma uç noktalarını internete kapatmalısınız. Ayrıca, AI araçlarınızda bulut anahtarları ve sağlayıcı kimlik bilgileri bulundurmamalısınız; bunları doğru bir yöneticide saklayın ve internet erişiminin olmadığı bir ortamda tutun.
Nacos’u güçlendirin: varsayılan imza anahtarını değiştirin, internetten kapalı tutun ve veritabanına root olarak bağlanmasına izin vermeyin. Veritabanınızın yönetici hesabını internete açmayın ve dışa çıkan trafiği kilitleyin, böylece hacklenen bir sunucu geri bağlantı kuramaz.
Sysdig’e göre, kötü davranışı gerçek zamanlı izlemek, yamalamak için acele etmekten daha önemlidir. Yayınladıkları göstergeler arasında:
- Giriş noktası: CVE-2025-3248 (Langflow yetkisiz uzaktan kod çalıştırma)
- Komut ve kontrol: 45.131.66[.]106, her 30 dakikada bir hxxp://45.131.66[.]106:4444/beacon adresine ping atan bir sinyal
- Öne sürülen hazırlık sunucusu: 64.20.53[.]230
- Fidye Bitcoin adresi: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; iletişim e78393397[@]proton[.]me; fidye tablosu README_RANSOM
JADEPUFFER, bir uyarı işareti olarak değerlendirilmeli. Tüm bu hamlelerden hiçbiri yeni veya zekice değil. Yeni olan, bu işlemlerin bir model tarafından tamamlanarak dikkat çeken bir sunucuya karşı bir saldırı oluşturulmasıdır.
Gelecekte benzer olaylar daha sık görülecektir, bu nedenle keşfedilen her sunucu, yapılandırma deposu veya veritabanı yönetici girişinin bir makine tarafından kontrol edileceğini düşünün.


